החוק הסופי של ה-CMMC 2.0 פורסם ב-Federal Register ב-15 באוקטובר 2024 ונכנס לתוקף ב-16 בדצמבר 2024 כ-32 CFR Part 170. ב-10 בנובמבר 2025 התחילה Phase 2 - מאז, חוזים חדשים של ה-DoD שמכילים CUI דורשים Self-Assessment של 110 בקרות NIST SP 800-171. בנובמבר 2026 (Phase 3) ידרשו חוזים מסוימים הסמכה חיצונית מלאה דרך C3PAO (Third-Party Assessor Organization). עד נובמבר 2027 (Phase 4), 100% מחוזי ה-CUI ידרשו זאת.[1][2]

הקבלן הישראלי שמייצר רכיב כלשהו עבור prime contractor אמריקאי - Lockheed Martin, RTX, Northrop, General Dynamics, או חברת ביטחון משנית - יוכרח להראות תאימות, או לוותר על החוזה. הניתוח הזה מציג מה זה אומר בפועל, איפה הפערים הנפוצים, וכמה זמן באמת לוקח להגיע ל-CMMC Level 2.

110
בקרות NIST 800-171 ל-Level 2
12-18
חודשים היערכות ממוצעת
Nov 2026
Phase 3 - דדליין external cert

מה השתנה מ-CMMC 1.0 ל-CMMC 2.0

ה-CMMC המקורי (2020) הציע 5 רמות עם 171 פרקטיקות, ודרש הסמכה חיצונית כמעט לכל ספק. הוא נפסל בלחץ התעשייה. CMMC 2.0 ש-DoD פרסמה ב-2021 וסופית ב-2024 מציגה 3 רמות בלבד:

🟢

Level 1 - Foundational (17 פרקטיקות)

למידע FCI (Federal Contract Information) - לא CUI. Self-Assessment בלבד, אישור שנתי על ידי קצין החברה. רוב הספקים שמספקים שירותים בסיסיים נכנסים לכאן.

🟠

Level 2 - Advanced (110 פרקטיקות = NIST SP 800-171 R2)

למידע CUI. כאן עיקר הספקים בתעשייה הביטחונית. רוב חוזי Level 2 ידרשו הסמכת C3PAO חיצונית (Phase 3+). חלק קטן יכול להישאר ב-Self-Assessment עם אישור Senior Official.[3]

🔴

Level 3 - Expert (134 פרקטיקות = 800-171 + 800-172)

למידע CUI עם רמת רגישות גבוהה במיוחד או חיזוק נגד APTs. הסמכה חיצונית של DCMA (Defense Contract Management Agency) - לא C3PAO. נדיר, רק לקבלנים שעובדים על תכניות מסווגות במיוחד.

4 שלבי האכיפה (DFARS Clause 252.204-7021)

ה-DoD מטמיע את ה-CMMC בהדרגה דרך DFARS Clause 252.204-7021, על פני 4 שלבים לאורך 3 שנים:

01
Phase 1 (תחילה Q4 2024) - Self-Assessment for Level 1 & 2
תקופת הכוונה. חוזים חדשים מתחילים לכלול דרישת CMMC, אך Self-Assessment מספיק. רישום ב-SPRS (Supplier Performance Risk System) חובה.
02
Phase 2 (החל מ-10 בנובמבר 2025) - C3PAO לחוזי Level 2 חדשים
חוזים חדשים שמכילים CUI ומסומנים ל-Level 2 דורשים הסמכה חיצונית מ-C3PAO. ספקים שעובדים על חוזים קיימים יכולים להמשיך עם Self-Assessment.[4]
03
Phase 3 (החל מ-נובמבר 2026) - Option Year־ים מקבלים אכיפה
חידוש חוזה קיים (option year) - גם הוא נכנס תחת אכיפה. ספקים שלא הסמיכו עד אז עלולים לאבד את החוזה בחידוש. דדליין מוגדר ב-DoD memo - לא מתפרסם פומבית פר-חוזה.
04
Phase 4 (החל מ-נובמבר 2027) - אכיפה מלאה לכל חוזה
100% מהחוזים שמכילים CUI דורשים CMMC ברמה המתאימה. אין יותר self-assessment exception. ספק ללא הסמכה = ספק ללא חוזה.
05
Sub-tier flowdown - חובת קבלן ראשי
Prime contractor שמשתמש בספק משנה לעבודה הקשורה ל-CUI חייב לוודא שהספק עומד ברמה הנדרשת. בארה"ב זה מכונה "אחריות שרשרת אספקה" - הקבלן הראשי משלם את המחיר אם הספק נכשל.

למה ספק ישראלי לא יכול לחכות עד הרגע האחרון

ההסמכה אינה הליך מהיר. שלוש סיבות מבניות מחייבות את הספק הישראלי להתחיל עכשיו:

🔴 צוואר בקבוק של C3PAOs - מספר מוגבל בעולם

כיום פעילים בעולם פחות מ-90 C3PAOs מוסמכים מלאים על ידי The Cyber AB. בישראל - אפס. ספק ישראלי יצטרך לעבוד עם C3PAO אמריקאי או אירופאי, ולתאם נסיעת auditor / או remote assessment. ככל שמתקרב Phase 3, הביקוש קופץ - וזמני המתנה של 3-6 חודשים הופכים סטנדרט.[5]

🟠 110 בקרות = 12-18 חודשי עבודה אמיתית

שורת בקרות פשוטה (MFA על כל גישה, encryption at rest, network segmentation, incident response plan, supply chain risk management) דורשת תיעוד, מערכת, נוהל, הדרכה - וקריטית: system Security Plan (SSP) שמתאר 110 בקרות פר-בקרה, עם evidence שרירותי. גם ארגון מבוסס יבצע זאת ב-12-18 חודשים. ארגון לא בשל - 24 חודשים סבירים.

🔴 SPRS Score וקנסות False Claims Act

הציון ב-SPRS פתוח לקבלן הראשי. ספק שמדווח 110/110 ב-self-assessment אבל בפועל לא מיושם - חשוף ל-False Claims Act. הקנסות בארה"ב פלילי-אזרחי: treble damages plus $13,508-$27,018 פר ההודעה השקרית. תיק העם דרגון (Penn State 2024, $1.25M) הוא הראשון - לא האחרון.[6]

מסגרת היערכות 12 חודשים לספק ישראלי

תוכנית עבודה לארגון 50-200 עובדים, שטח אחד בארץ, עם prime contract אמריקאי קיים. ההנחה: הארגון לא יישם ISO 27001 או SOC 2 לפני - מתחילים מתחילת הדרך.

השורה התחתונה

CMMC אינו "תקן אמריקאי שלא נוגע בנו". בכל פעם שספק ישראלי מתחבר ל-supply chain של DoD - גם דרך prime contractor אירופאי או אמריקאי - הוא בתוך גזרת האכיפה. דדליין Phase 3 (נובמבר 2026) הוא פחות מ-18 חודשים מהיום - בדיוק הזמן שלוקח ארגון בריא לבצע יישום מלא ולעבור הסמכה.

ספקים שיתחילו רק כשייעדכן ה-PO הספציפי שלהם - יאחרו. ה-PO הבא יילך למתחרה שכבר מוסמך. KPLNS מקדמת gap assessment ראשוני ב-2-4 שבועות שמראה למנכ"ל הספק בדיוק כמה רחוקה הדרך - ובדיוק כמה כל יום של דחייה עולה.

מקורות

  1. Federal Register — 32 CFR Part 170, Cybersecurity Maturity Model Certification Program Final Rule (October 15, 2024)
  2. DoD CIO — About CMMC
  3. NIST SP 800-171 Rev. 2 — Protecting Controlled Unclassified Information in Nonfederal Systems
  4. DefenseScoop — Pentagon Begins Enforcing CMMC Compliance, Defense Industry Faces Readiness Gaps (November 2025)
  5. The Cyber AB — Authorized C3PAOs Marketplace
  6. U.S. DOJ — Penn State University Agrees to Pay $1.25M to Resolve False Claims Act Allegations Relating to NIST 800-171
  7. DFARS 252.204-7021 — Contractor Compliance with the Cybersecurity Maturity Model Certification Level Requirements
  8. Workstreet — CMMC 2.0 Compliance Deadlines
  9. U.S. Defense Logistics Agency — CMMC Resources